OpenLDAP Master/Slave部署

最新推荐文章于 2025-01-09 11:49:54 发布
转载 最新推荐文章于 2025-01-09 11:49:54 发布 · 780 阅读 · 0

本文介绍如何配置OpenLDAP以实现Master-Slave同步复制。采用refreshAndPersist模式,主服务器通过推模式更新从服务器,确保数据一致性。文章详细展示了slapd.conf配置示例。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

为了支持HA,OpenLDAP部署成Master/Slave同步复制方式,Slave实时通过Syncrepl方式进行复制。

Syncrepl 使用LDAP内容同步协议(或简称 LDAP Sync) 作为复制同步协议. LDAP Sync 提供一个有状态的复制,它同时支持拉模式和推模式同步并且不要求使用历史存储。

本例使用refreshAndPersist 同步模式, 提供者使用基于推模式的同步. 提供者维护对请求了一个持久性搜索的消费者服务器的跟踪,并且当提供者复制内容修改的时候向它们发送必要的更新。

OpenLDAP的复制技术请参考:http://wiki.jabbercn.org/index.php?title=OpenLDAP2.4%E7%AE%A1%E7%90%86%E5%91%98%E6%8C%87%E5%8D%97&variant=zh-hans#Delta-syncrepl.E5.A4.8D.E5.88.B6

下面是我的OpenLDAP Master的slapd.conf的配置内容:

include         /etc/openldap/schema/core.schema
include         /etc/openldap/schema/cosine.schema
include         /etc/openldap/schema/nis.schema
include         /etc/openldap/schema/inetorgperson.schema
include         /etc/openldap/schema/openldap.schema
include         /etc/openldap/schema/dyngroup.schema
include         /etc/openldap/schema/ppolicy.schema

serverid 0

pidfile         /var/run/openldap/slapd.pid
argsfile        /var/run/openldap/slapd.args

# Load dynamic backend modules:
modulepath      /usr/lib/openldap
moduleload      back_bdb
# 装载操作日志 overlay
moduleload accesslog.la
#装载 syncprov overlay
moduleload syncprov.la
#security policy
moduleload ppolicy.la

# Specific Backend Directives for bdb:
backend         bdb

# 操作日志数据库定义
database bdb
suffix cn=accesslog
directory /etc/openldap/db/accesslog
rootdn cn=accesslog
index default eq
index entryCSN,objectClass,reqEnd,reqResult,reqStart

overlay syncprov
syncprov-nopresent TRUE
syncprov-reloadhint TRUE

#######################################################################
# BDB database definitions
#######################################################################

database        bdb
suffix          "dc=xxxx,dc=cn"
rootdn          "cn=Manager,dc=xxxx,dc=cn"

rootpw          {SSHA}vnFurKif06ZBDPDJ7zOfuh6w78ORH4eE

directory       /var/lib/openldap

# Indices to maintain
index   objectClass     eq
# syncprov 特别索引
index entryCSN eq
index entryUUID eq

# 主数据库的syncrepl提供者
overlay syncprov
syncprov-checkpoint 1000 60
# 主数据库的操作日志overlay定义
overlay accesslog
logdb cn=accesslog
logops writes
logsuccess TRUE
# 每天扫描一次操作日志数据库, 并清除7天前的条目
logpurge 07+00:00 01+00:00

# 让复制DN有无限搜索权限
limits dn.exact="cn=Manager,dc=xxxx,dc=cn" time.soft=unlimited time.hard=unlimited size.soft=unlimited size.hard=unlimited

# invokes password policies for this DIT only
password-hash {SSHA}
overlay ppolicy
ppolicy_default "cn=default,ou=policies,dc=xxxx,dc=cn"
ppolicy_hash_cleartext

Slave消费者的slapd.conf内容:

include         /etc/openldap/schema/core.schema
include         /etc/openldap/schema/cosine.schema
include         /etc/openldap/schema/nis.schema
include         /etc/openldap/schema/inetorgperson.schema
include         /etc/openldap/schema/openldap.schema
include         /etc/openldap/schema/dyngroup.schema
include         /etc/openldap/schema/ppolicy.schema

pidfile         /var/run/openldap/slapd.pid
argsfile        /var/run/openldap/slapd.args

# Load dynamic backend modules:
modulepath      /usr/lib/openldap
moduleload      back_bdb
#装载 syncprov overlay
moduleload syncprov.la
#security policy
moduleload ppolicy.la

# Specific Backend Directives for bdb:
backend         bdb

#######################################################################
# BDB database definitions
#######################################################################

database        bdb
suffix          "dc=xxxx,dc=cn"
rootdn          "cn=Manager,dc=xxxx,dc=cn"

rootpw          {SSHA}vnFurKif06ZBDPDJ7zOfuh6w78ORH4eE

directory       /var/lib/openldap

# Indices to maintain
index   objectClass     eq
# syncrepl特有的索引
index entryUUID eq

# syncrepl参数
syncrepl  rid=0
 provider=ldap://192.168.1.14:389
 bindmethod=simple
 binddn="cn=Manager,dc=xxxx,dc=cn"
 credentials=secret
 searchbase="dc=xxxx,dc=cn"
 logbase="cn=accesslog"
 logfilter="(&(objectClass=auditWriteObject)(reqResult=0))"
 schemachecking=off
 type=refreshAndPersist
 retry="5 5 300 5"
 syncdata=accesslog

# 提交更新到主服务器
updateref               ldap://192.168.1.14
overlay         syncprov

# invokes password policies for this DIT only
password-hash {SSHA}
overlay ppolicy
ppolicy_default "cn=default,ou=policies,dc=xxxx,dc=cn"
ppolicy_hash_cleartext

配置时要注意syncrepl行后面的相关内容是多行的,每行前面必须留有空格。

OpenLDAP在Linux集群上的应用
IsdCoding的博客
09-30 126
通过将OpenLDAP部署在Linux集群上,我们可以实现高可用性和负载均衡,以确保LDAP服务的稳定性和可靠性。通过配置OpenLDAP集群,并使用负载均衡器进行负载均衡,我们可以实现高可用性和可伸缩性的LDAP服务。在上述配置中,我们定义了一个名为"ldap_servers"的上游组,其中包含LDAP集群的每个节点的IP地址和端口号。在配置完单个节点的OpenLDAP之后,我们需要创建一个LDAP集群,以实现高可用性和负载均衡。在每个节点上,取消注释并修改这些行,以配置复制和访问日志。
实战部署openldap主从架构
weixin_33884611的博客
05-26 822
一、openldap介绍二、openldap特点三、openldap相关缩写四、openldap组件五、openldap环境规划六、openldap部署---Master端七、openldap部署---Slave端八、openldap使用LAM工具管理九、Master-Slave测试是否同步一、openldap介绍:LDAP是轻量目录访问协议(Lightweight Dire...
应用Linux上的 OpenLDAP集群
shenzhisanyuan的专栏
09-11 474
  Linux服务器具有低成本、性能卓越、代码开放等特性。越来越多的企业正在准备或已经采用Linux担起了企业应用服务器的重任。本文要介绍的是笔者在实际工作中,采用Linux和其它开放套件共同部署高可靠性LDAP认证服务的实例。  系统所要用到的软件包括:  ◆ Red Hat 7.2;  ◆ OpenLDAP 2.1,[url]www.openldap.org[/url];  ◆ Heartbe
生产环境OpenLDAP主从集群
南宫乘风-Linux运维-虚拟化容器-Python编程 ownit.top
06-20 1159
需要注意的是认证用户一定要使用超级管理员,如果使用普通用户连接master的话,slave将不会同步用户的密码字段信息。对于slave节点,也参照前述章节安装并配置,但只到执行ldapdomain.ldif文件后就行。通过上图,我们可以很明显的看到slave机器上slapd服务没有报错,而且已经在同步相关openldap数据。slave机器上配置完毕后,无需重启master机器和slave机器的slapd服务。1、在master节点上修改用户字段信息,slave节点上应能同步到修改信息。
ansible-role-openldap:自动化部署OpenLDAP服务器
- openldap_slave_rid:这是从站角色的实例化变量,其值(0)必须是唯一的,用于区分不同的OpenLDAP从服务器。 - slapd_rc_flags:这是一个变量,用于定义slapd服务启动时的配置参数,如监听的协议端口。 - ...
实现OpenLDAP使用AD认证(OpenLDAP部署已忽略)
fangyingquano的专栏
08-15 1415
OpenLDAP作为一种开源的目录服务解决方案,与Windows Active Directory(AD)作为微软提供的目录服务系统,各自在特定场景下展现出优势。当前情况显示,部分应用场景(如应用集成、客户端配置)与OpenLDAP的集成更为顺畅,而另一些场景则严格依赖于AD的功能。因此,完全放弃其中任一系统均非明智之举,但这同时也带来了双重维护的挑战——不仅工作量显著增加,还涉及信息的分散管理、同步复杂性提升及错误率的潜在上升。简单认证服务层的守护进程,该进程要安装在openldap服务器上。
企业级部署OpenLDAP安装与应用教程
- **复制**:通过设置主从复制(Master-Slave replication)或多主复制(Multi-Master replication),可以提高数据的可用性和耐久性。 - **分片**:将目录数据分布到不同的服务器上(Sharding),可以提升性能和...
Linux UNIX OpenLDAP实战指南
10-29
7. **OpenLDAP复制与同步**:介绍多服务器部署时的复制策略,如Master-Slave模式、归并复制,以及slurpd和syncrepl的使用。 8. **安全管理**:包括SSL/TLS加密、证书管理,以及日志和审计功能,确保数据安全。 9. ...
openldap同步
02-22
OpenLDAP同步技术是指在使用OpenLDAP这一开源轻量级目录访问协议(LDAP)服务器时,如何实现多个OpenLDAP实例之间的数据同步和复制。这一技术允许管理员维护一个分布式环境下的目录服务,通过同步机制将数据从一个中心...
应用Linux上的OpenLDAP集群.pdf
09-07
应用Linux上的OpenLDAP集群.pdf
安全镜像高可用的OpenLDAP集群
wilbertzhou的专栏
01-09 8127
安全镜像高可用的OpenLDAP集群 原文:http://www.grantcohoe.com/blog/2013/01/03/secure-mirroring-highly-available-openldap-cluster/ 背景 我的组织在OpenLDAP目录服务器中存储用户信息,这包括联系信息,性格喜好,iButton的标识等。目录服务器不存储用户密码,并依赖于一个Kerber
搭建openldap的MirrorMode复制方式集群+lvs+keepalived
luzhuhong1的博客
09-19 2132
搭建openldap的MirrorMode复制方式集群+lvs+keepalived Author:zhuhonglu 实验选择openldap的MirrorMode复制方式和lvs的DR模式 1、环境准备(cnetos7) lvs1:192.168.248.140(主的) lvs2: 192.168.248.141(从的) openldap:192.1...
openldap2.4 的同步&分布式部署方式
GaoWongZh的博客
11-14 2359
 一、openldap2.4 的同步方式 1、Syncrepl (全量模式):slave服务器用拉的方式同步master数据,使用该方法最大的缺陷在于:当你修改了一个Entry中的任何一个属性,那么该方法会把该条目下所有的属性都同步过来。 2、Delta-syncrepl(增量模式):比syncrepl多了一个基于日志的同步功能。每在master修改一条数据后,就会产生一个日志文件,salve...
openldap主服务器配置文件(双主)
weixin_30701575的博客
11-07 292
## See slapd.conf(5) for details on configuration options.# This file should NOT be world readable.# include /etc/openldap/schema/corba.schemainclude /etc/openldap/schema/core.schemainclude /...
openldap主从数据同步-基于debain 9
a516476037的博客
09-26 738
个人见解:syncrepl=Synchronization+replication,即同步复制 前言 作为数据副本受支持的后端数据库 bdb hdb mdb 必须引用的schema文件: core.schema 非常有用的schema文件: cosine.schema inetorgperson.schema 同步方式 openl...
OpenLDAP 进阶指南:复制、引用与别名配置详解
虽非技冠群英首,愿与同道共长歌; 大鹏一日同风起,扶摇直上九万里;
01-09 1278
OpenLDAP 进阶指南:复制、引用与别名配置详解
openldap2.4主从syncrepl配置
weixin_34406796的博客
09-20 667
一般而言,生产环境中,ldap server都部署2台,做主从配置,这样可以提供目录服务的高可用性,两台ldap服务器之间自动同步数据。配置openldap主从结构,或许网上会有很多的文章或者博客介绍,但是绝大部分都是基于2.3的版本,注意2.3的主从配置是不适用于2.4的,所以如果要使用openldap2.4配置主从结构,在搜索的时候要注意。然而,即使百度了也会发现,网上只...
在CentOS上为OpenLDAP添加自签名SSL/TLS支持的步骤如下: ### 1. 安装必要工具 ```bash yum install openldap-servers openssl ``` ### 2. 生成自签名证书 ```bash # 创建证书存放目录 mkdir -p /etc/openldap/certs # 生成私钥(无密码) openssl genrsa -out /etc/openldap/certs/ldap.key 2048 # 生成自签名证书(CommonName填写服务器主机名/IP) openssl req -new -x509 \ -key /etc/openldap/certs/ldap.key \ -out /etc/openldap/certs/ldap.crt \ -days 365 \ -subj "/CN=your_server_hostname_or_ip" # 设置权限 chmod 400 /etc/openldap/certs/ldap.key chmod 444 /etc/openldap/certs/ldap.crt ``` ### 3. 配置OpenLDAP #### 对于使用动态配置(cn=config)的情况: ```bash # 创建LDIF文件 tls.ldif cat > tls.ldif << EOF dn: cn=config changetype: modify add: olcTLSCACertificateFile olcTLSCACertificateFile: /etc/openldap/certs/ldap.crt - add: olcTLSCertificateFile olcTLSCertificateFile: /etc/openldap/certs/ldap.crt - add: olcTLSCertificateKeyFile olcTLSCertificateKeyFile: /etc/openldap/certs/ldap.key EOF # 应用配置 ldapmodify -Y EXTERNAL -H ldapi:/// -f tls.ldif ``` #### 对于传统配置(slapd.conf): ```bash vim /etc/openldap/slapd.conf # 添加以下内容 TLSCACertificateFile /etc/openldap/certs/ldap.crt TLSCertificateFile /etc/openldap/certs/ldap.crt TLSCertificateKeyFile /etc/openldap/certs/ldap.key ``` ### 4. 修改监听配置 ```bash vim /etc/sysconfig/slapd # 修改SLAPD_URLS行 SLAPD_URLS="ldapi:/// ldap:/// ldaps:///" ``` ### 5. 配置防火墙 ```bash firewall-cmd --permanent --add-service=ldaps firewall-cmd --reload ``` ### 6. 重启服务 ```bash systemctl restart slapd systemctl enable slapd ``` ### 7. 验证连接 ```bash # 使用StartTLS方式验证 ldapsearch -ZZ -H ldap://localhost -x -b "" -s base # 使用LDAPS方式验证 ldapsearch -H ldaps://localhost -x -b "" -s base ``` ### 可能遇到的问题及解决: 1. **证书验证失败**: ```bash # 客户端临时关闭验证(仅测试用) vim /etc/openldap/ldap.conf ``` 添加: ```ini TLS_REQCERT allow ``` 2. **SELinux阻止访问**: ```bash semanage fcontext -a -t cert_t '/etc/openldap/certs(/.*)?' restorecon -Rv /etc/openldap/certs ``` 3. **端口未监听**: ```bash netstat -tulnp | grep 636 ``` > 注意:生产环境应使用正式CA签名的证书,并保持TLS验证严格模式。测试环境完成后建议恢复`TLS_REQCERT`为默认值。
最新发布
05-17
将生成的证书和私钥复制到指定目录 `/etc/openldap/certs/` 中: ```bash cp ldapserver.crt /etc/openldap/certs/ cp ldapserver.key /etc/openldap/certs/ chmod 600 /etc/openldap/certs/* chown ldap:ldap /etc/...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值